Programa productizado Essential Eight · organizaciones australianas
Uplift Essential Eight, empaquetado. Alcance fijo, precio fijo, evidencia defendible.
La mayoría de los compradores no consigue una respuesta directa sobre cuánto cuesta un proyecto Essential Eight ni cuánto demora. Publicamos tres paquetes de precio fijo con los entregables en la página, un plazo definido y una garantía de atestación que nos compromete a nosotros, no a usted, con el resultado.
- Entrega certificada ISO 27001:2022
- Alineado al marco ACSC Essential Eight
- AUKUS / ITAR usuario autorizado australiano
- Panel NSW Health SOA
Las llamadas de alcance duran 30 minutos. No le venderemos nada. Le preguntaremos qué paquete encaja y de dónde viene. La mayoría termina con un sí o un no educado.
Tres paquetes. Elija el que encaja.
Cada paquete es un proyecto de alcance fijo y precio fijo con un plazo definido y un paquete de evidencia firmado al final. Sin llamadas de descubrimiento a medida para enterarse de cuánto cuesta.
Pequeño
Hasta 50 endpoints, sitio único
CLP $12.000.000
Precio fijo. 50% al inicio, 50% al entregar el paquete de evidencia. Equivalente CLP confirmado al firmar.
Encaja: Práctica de salud aliada, radiología de un solo sitio, firmas legales o contables pequeñas, ONGs preparando renovación de seguro cibernético.
Plazo: 6 semanas
Qué recibe
- Evaluación de madurez basal contra las ocho estrategias de mitigación ACSC
- Endurecimiento de identidad: cobertura MFA, acceso condicional, cuentas administradoras nominadas en Entra ID
- Despliegue de control de aplicaciones en endpoints Windows (NinjaOne)
- Línea base de parches: sistemas operativos y aplicaciones de Microsoft 365
- Revisión de alcance de respaldo con una restauración probada (Veeam, Datto, o respaldo nativo M365)
- Endurecimiento de macros de Microsoft Office y de aplicaciones de usuario por defecto
- Paquete de evidencia listo para auditoría: resúmenes de política, capturas de control, registros de prueba con fecha
- Reunión de traspaso de dos horas para el ejecutivo responsable interno
Fuera de alcance
- Reemplazo de servidores o appliances
- Listas personalizadas de aplicaciones permitidas más allá de las plantillas NinjaOne
- Trabajo en sitio (la entrega es remota; el trabajo en sitio se factura aparte según tarifa diaria acordada)
Pago seguro con tarjeta vía Stripe. 50% (CLP $6.000.000) es la factura de inicio; el 50% restante se factura al entregar el paquete de evidencia. Su acuerdo de proyecto y factura tributaria llegan en un día hábil.
Agendar llamada de alcanceEncaje más común
Mediano
50 a 250 endpoints, uno a cinco sitios
CLP $30.000.000
Precio fijo. 40% al inicio, 40% al completar la remediación, 20% al entregar el paquete de evidencia. Equivalente CLP confirmado al firmar.
Encaja: Grupos de médicos generales multi-sitio, prácticas de imagen medianas, municipios regionales, firmas profesionales con datos sensibles de clientes, organizaciones cercanas a ASX300 con presión de cumplimiento.
Plazo: 10 semanas
Qué recibe
- Todo lo incluido en el paquete Pequeño, escalado a su cantidad de endpoints y sitios
- Uplift de madurez al nivel objetivo que usted nomine (típicamente ML1 a ML2 en las ocho)
- Diseño de políticas de acceso condicional ajustado a su huella de aplicaciones de negocio
- Línea base de gestión de acceso privilegiado (Entra ID PIM o Keeper Security PAM)
- Línea base de parches extendida a controladores y firmware donde la plataforma lo soporte
- Revisión de alcance de respaldo con una restauración completa probada y una parcial probada
- Revisión de segmentación de red multi-sitio (auditoría de configuración de firewall Fortinet, Cisco, o Palo Alto)
- Línea base de concientización de usuarios: inscripción en Huntress Security Awareness Training o equivalente
- Paquete de evidencia listo para auditoría con matriz de trazabilidad que mapea cada control a referencias del ASD ISM y del modelo de madurez Essential Eight de la ACSC
- Una reunión de revisión tipo QBR al mes tres para validar la operación
Fuera de alcance
- Ingeniería personalizada de listas de aplicaciones permitidas más allá del paquete estándar
- Trabajo en sitio fuera del área metropolitana de Sídney (facturable según tarifa diaria más viáticos)
- Hardware de reemplazo (estaciones de trabajo, firewalls, switches) cuando el parque existente está al final de su vida útil
Empresa
250+ endpoints, o multi-arrendatario / multi-jurisdicción
CLP $65.000.000
Alcance fijo, precio indicativo. Precio final confirmado por escrito dentro de cinco días hábiles posteriores a la llamada de alcance. Equivalente CLP confirmado al firmar.
Encaja: TI corporativa de hospital y red local de salud, organizaciones listadas en ASX, contratistas de departamentos de gobierno, grupos de radiología o patología multi-jurisdicción, organizaciones reguladas con inversión existente en SIEM y SOC.
Plazo: 14 a 18 semanas
Qué recibe
- Todo lo incluido en el paquete Mediano, escalado a sus unidades de negocio, jurisdicciones y fronteras de identidad
- Uplift de madurez al nivel objetivo en las estrategias de mitigación nominadas, secuenciado contra el riesgo de negocio y restricciones de ventanas de cambio
- Revisión de federación de identidad: acceso entre arrendatarios, inventario de aplicaciones SaaS de terceros, higiene de invitados B2B
- Ingeniería de control de aplicaciones: construcción de política WDAC o AppLocker con listas permitidas para aplicaciones de línea de negocio
- Despliegue de gestión de acceso privilegiado con grabación de sesiones y elevación justo-a-tiempo
- Diseño de gobernanza de parches incluyendo SLA de parches de emergencia e integración con gestión de cambios
- Revisión de arquitectura de respaldo incluyendo inmutabilidad offsite, retención y recuperación probada contra RPO y RTO declarados por el directorio
- Ajuste de SIEM para telemetría E8 (Microsoft Sentinel, Splunk, Adlumin, o Falcon LogScale) con playbooks nominados
- Paquete de evidencia listo para auditoría con trazabilidad al ASD ISM, IDs de control del Anexo A de ISO 27001:2022, y niveles del modelo de madurez Essential Eight
- Dos consultores senior nominados durante el proyecto: un líder de entrega y un revisor de calidad que firma el paquete de evidencia
- Compromisos de ajuste trimestral (seis meses post-traspaso) sin costo adicional
Fuera de alcance
- Migración de cargas de producción o despliegue de nueva plataforma (alcance separado como proyecto)
- Pruebas de penetración o ejercicio de red-team (lista de proveedores recomendada suministrada)
- Operaciones SOC 24x7 (cubiertas bajo la línea de servicio de seguridad gestionada Trucell, alcance separado)
Todos los precios están en dólares australianos, exclusivos de GST. Los contratos de servicios gestionados multi-año pueden incluir el paquete de uplift a tarifa con descuento; discutir en la llamada de alcance. Equivalente CLP confirmado al firmar.
La garantía de atestación Trucell
Si su revisor nominado encuentra una brecha en el alcance entregado dentro de seis meses, la cerramos. Sin tarifa de ingeniería adicional.
Cada paquete se entrega con un paquete de evidencia escrito y una frontera de parque documentada en el traspaso. Si su revisor nominado detecta una brecha de control dentro de ese alcance entregado durante su revisión de atestación en los primeros seis meses, Trucell remedia la brecha sin tarifa de ingeniería adicional. Aceptamos a cualquier practicante endosado por IRAP, cualquier auditor líder ISO 27001:2022, el revisor nominado por su suscriptor de seguro cibernético, u otro tercero calificado acordado por escrito durante la llamada de alcance.
Qué cubre: todos los controles que desplegamos contra el parque documentado en el traspaso. Qué no cubre: endpoints nuevos, sitios nuevos, aplicaciones de negocio nuevas o plataformas de terceros introducidas después del traspaso. Controles fuera del marco Essential Eight (pruebas de penetración, operaciones SOC 24x7, ejercicios de red-team) se cotizan por separado.
Si no creemos que su objetivo de madurez sea alcanzable con su presupuesto, plazo o stack de plataforma, se lo diremos en la llamada de alcance y rechazaremos el proyecto en lugar de entregar un resultado que falle la revisión. La garantía existe porque la respaldamos, no porque suene bien.
El acuerdo de proyecto es el documento controlante para los términos de la garantía. Aplican términos estándar Trucell; vea /terms-and-agreements/.
Cómo se desarrolla un proyecto
Misma forma en los tres niveles. El plazo escala con el tamaño del proyecto; las fases no cambian.
-
Semana 1
Descubrimiento y línea base
Taller de descubrimiento con su ejecutivo responsable y líder de TI. Documentamos su parque actual (endpoints, fuente de identidad, perímetro de red, postura de respaldo, lista de aplicaciones), corremos la evaluación del modelo de madurez Essential Eight de ACSC, y producimos un reporte basal escrito. Usted firma el alcance antes de que toquemos producción.
-
Semanas 2 a 6
Remediación y despliegue de controles
Controles desplegados en secuencia priorizada alineada al riesgo y a las plataformas que ya usa. Endurecimiento de identidad primero (mayor apalancamiento), luego control de aplicaciones, parches, verificación de respaldo, endurecimiento de macros y aplicaciones de usuario. Registros de cambio diarios, actualización de estado semanal a su patrocinador ejecutivo, sin sorpresas.
-
Semanas 7 a 10
Paquete de evidencia y traspaso
Ensamblamos el paquete de evidencia: resúmenes de política, capturas de control fechadas contra su arrendatario, registros de pruebas de restauración, matriz de trazabilidad mapeando cada control a niveles ML de ACSC y (cuando esté en alcance) IDs del Anexo A de ISO 27001:2022. Reunión de traspaso de dos horas para su ejecutivo responsable. El paquete se entrega en PDF y formato editable para que su auditor pueda anotarlo.
-
Mes 6
Ajuste de revisión de atestación
Seis meses después del traspaso, su revisor nominado revisa el paquete de evidencia. Si detecta brechas dentro de nuestro alcance entregado, remediamos sin tarifa adicional. Si todo pasa, traspasamos la operación a su TI interno o a un servicio gestionado Trucell si nos ha contratado.
Por qué esto se sostiene cuando su auditor lo abre
Tres cosas respaldan cada proyecto Essential Eight de Trucell: la experiencia con el marco, la evidencia operacional, y la postura de gobernanza. Los compradores que nos comparan con alternativas consistentemente llegan a estos puntos.
Experiencia con el marco ACSC en producción
Trucell entrega controles Essential Eight sobre el mismo stack operativo que corremos para clientes día a día (NinjaOne, Microsoft 365, Entra ID, Fortinet, Veeam, Datto, NetApp). La experiencia con el marco no es una presentación escrita por un consultor que no toca producción. Son los mismos ingenieros que triagean sus tickets.
Entrega certificada ISO 27001:2022 (Trucell Pty Ltd certificado 500-27285-IS)
Nuestro propio sistema de gestión de seguridad de la información es auditado anualmente por Citation Certification (acreditado JAS-ANZ). La disciplina de control que aplicamos a su uplift Essential Eight es la misma disciplina que aplicamos a nuestras propias operaciones. Un auditor que pida nuestra evidencia de gobernanza recibe una copia actual a solicitud.
Credenciales gubernamentales y de panel
Panel NSW Health SOA HSSP_HC22_AME885 aprobado, estado AUKUS / US ITAR como Usuario Autorizado Australiano, miembro del NVIDIA Partner Network. Las credenciales que las organizaciones reguladas australianas usan para filtrar listas cortas están en nuestro archivador, no en una diapositiva de marketing.
Precio fijo, alcance fijo, evidencia firmada
La mayoría de proyectos Essential Eight se cotizan a medida y se reescalan dos veces durante la entrega. Los compradores encuentran esta oferta porque los quemó un proyecto de alcance abierto que se salió del presupuesto. Nuestro alcance está en esta página; nuestro precio está en esta página; nuestra evidencia se entrega como PDF fechado que usted puede pasarle a su revisor sin traducir.
¿Listo para definir un nivel?
Llamada de alcance de 30 minutos. Confirmamos qué nivel encaja con su cantidad de endpoints, su plazo y las expectativas de marco de su auditor. Se va con una propuesta de precio fijo en cinco días hábiles.
Preguntas que los compradores hacen antes de agendar
¿Qué pasa si ya hemos empezado Essential Eight? ¿Recibimos descuento?
No hay descuento, pero sí un crédito. Si su evaluación basal muestra que ya cumplió un control al nivel de madurez que entregaríamos, ese trabajo se quita del alcance y el proyecto corre más corto. Paga el mismo precio fijo del paquete; recibe el mismo paquete de evidencia; el proyecto simplemente termina antes. Somos explícitos sobre esto en la llamada de alcance.
¿Qué pasa si nuestro auditor encuentra una brecha?
Si la brecha está dentro del alcance que documentamos en el traspaso, Trucell remedia sin tarifa adicional, dentro de una ventana de seis meses desde el traspaso. Si la brecha está fuera de ese alcance (un endpoint nuevo, una aplicación SaaS nueva, una regla de control de aplicaciones que el cliente cambió post-traspaso), remediamos a tarifas horarias estándar con el trabajo cotizado por escrito primero.
Estamos a mitad de una licitación. ¿Pueden devolvernos una propuesta en una semana?
Sí. Agende la llamada de alcance, comparta los requisitos de la licitación y nuestro paquete estándar encaja en uno de los tres niveles más veces de las que no. Le devolveremos una propuesta de precio fijo alineada al nivel dentro de cinco días hábiles. Si la licitación requiere controles personalizados que no incluimos en el paquete estándar, los cotizamos y precificamos como ítems de línea en lugar de reinventar el proyecto.
¿Operan los controles después, o lo hacemos nosotros?
Ambos modelos. El paquete tal como está definido traspasa la operación a su TI interno o a su MSP existente. Si quiere que Trucell opere los controles después, agregamos un proyecto Strategic Managed Service (contrato separado, alcance separado, precio separado). Muchos clientes eligen la ruta gestionada porque los mismos ingenieros que entregaron el uplift son más fáciles de escalar que un tercero que hereda un conjunto de controles que no diseñó.
¿Por qué publican el precio? La mayoría de MSPs no lo hace.
Dos razones. Primero, los compradores lo respetan: esconder el precio detrás de una llamada de "déjenos definir alcance" cuesta a ambas partes horas de tiempo cuando la respuesta va a aterrizar en uno de tres niveles de todos modos. Segundo, nuestro costo de entrega en cada nivel está bien entendido; hemos corrido suficientes de estos proyectos para que la variabilidad viva en el alcance (que publicamos) en lugar de en la entrega (que hemos sistematizado). Si su escenario no encaja en uno de los niveles publicados, la llamada de alcance lo descubre rápido.
¿Podemos pagar en etapas ligadas a hitos?
Sí, y la estructura de facturación del paquete ya refleja esto. El nivel Pequeño factura 50% al inicio y 50% al entregar el paquete de evidencia. El nivel Mediano factura 40% / 40% / 20% entre inicio, completar remediación y traspaso. El nivel Empresa factura contra los hitos definidos en el documento de alcance. Neto 30 a menos que su marco de adquisiciones dicte lo contrario.
¿Qué pasa si queremos un nivel de madurez superior al del paquete?
El nivel Mediano ya lleva a la mayoría de entornos a ML2 en las ocho estrategias. ML3 en las ocho es raro en la práctica y se cotiza como un proyecto Empresa-solo con plazo extendido y precio que refleja la carga de ingeniería. Le diremos en la llamada de alcance si ML3 es realista para su huella de plataforma y su tolerancia al riesgo.
Agende la llamada de alcance
Tres paquetes, en la página. Si su entorno encaja en uno, puede agendar la entrega sin otra ronda de cotización a medida. Si su escenario es inusual, la llamada de alcance lo descubre en 15 minutos.
Trucell Pty Ltd · ABN 93 113 471 873 · ISO 27001:2022 certified (Trucell Pty Ltd, certificate 500-27285-IS, Citation Certification, JAS-ANZ accredited)